Hukum internasional tentang perlindungan data pribadi dan implikasinya bagi Vietnam

Sebagai salah satu negara dengan pengembangan Internet dan kecepatan aplikasi tertinggi di dunia , dengan hampir 80% penduduknya menggunakannya, data pribadi 2/3 penduduk Vietnam disimpan, diunggah, dibagikan, dan dikumpulkan di dunia maya dalam berbagai bentuk dan tingkat detail.

Pada tahun 2022 dan 2023, Vietnam mendakwa lima kasus pidana yang melibatkan ribuan gigabita data dan miliaran informasi pribadi yang diperjualbelikan. Hal ini menunjukkan bahwa penyempurnaan undang-undang perlindungan data pribadi berdasarkan penelitian dan rujukan hukum internasional sangat mendesak.

Hukum internasional tentang perlindungan data pribadi

GDPR dianggap sebagai langkah maju hukum yang besar, menciptakan mekanisme perlindungan informasi pribadi yang paling ketat di dunia saat ini.

Peraturan Perlindungan Data Umum (GDPR) Uni Eropa (UE) dianggap sebagai langkah maju hukum yang besar, menciptakan mekanisme perlindungan informasi pribadi yang paling ketat di dunia saat ini dan diterapkan pada semua organisasi dan bisnis yang memproses data pribadi warga negara di UE.

GDPR memberlakukan sanksi yang seragam bagi bisnis atas pelanggaran di seluruh blok. Denda yang dikenakan mencapai 2% dari omzet atau €10 juta untuk pelanggaran ringan, dan 4% dari omzet atau €20 juta untuk pelanggaran berat. Selain denda, bisnis yang melanggar GDPR juga dapat dikenakan sanksi lain, seperti penghentian pemrosesan data atau penghapusan data yang telah diproses secara melanggar GDPR.

Otoritas perlindungan data pribadi Uni Eropa adalah Otoritas Pengawasan Perlindungan Data Uni Eropa (EDPS) - badan independen yang anggotanya termasuk pengacara berpengalaman, pakar TI, dan administrator.

Badan ini memiliki fungsi utama mengawasi pemrosesan data pribadi di lembaga dan organisasi Uni Eropa serta memberikan nasihat tentang isu-isu terkait data pribadi. GDPR juga mewajibkan pembentukan Otoritas Perlindungan Data Pribadi di setiap negara anggota, seperti Komisi Perlindungan Data Pribadi Nasional (Prancis, Irlandia, dll.) atau Inspektorat Perlindungan Data (Finlandia, Latvia, dll.).

Bersamaan dengan EDPS, UE juga membentuk Dewan Perlindungan Data Eropa (EDPB), yang terdiri atas perwakilan otoritas perlindungan data nasional negara-negara anggota dan perwakilan UE, dan berfungsi sebagai badan penasihat independen utama mengenai masalah perlindungan data pribadi, yang bertanggung jawab atas penerapan GDPR yang konsisten di seluruh serikat.

GDPR memberikan sanksi yang sangat jera, baik material maupun immaterial. Selain itu, otoritas perlindungan data pribadi Uni Eropa diimplementasikan berdasarkan model Komisi/Komisioner, sehingga memiliki kewenangan yang luas dan independen untuk menjatuhkan sanksi jika organisasi melanggar peraturan perlindungan data pribadi dan mampu menilai serta memutuskan pemrosesan data pribadi secara independen.

Undang-Undang Perlindungan Informasi Pribadi Tiongkok (PIPL) yang disahkan pada tahun 2021 dianggap sebagai undang-undang perlindungan informasi pribadi tingkat nasional pertama yang komprehensif di Tiongkok. PIPL memiliki pandangan yang relatif seragam tentang data pribadi/Informasi Pribadi sebagai informasi yang mengidentifikasi atau mengidentifikasi individu tertentu, yang menargetkan sekelompok kecil individu di wilayah Tiongkok (Pasal 4 Bab 1 PIPL). Pada saat yang sama, PIPL juga mengatur masalah data pribadi sensitif untuk menetapkan peraturan tentang hak dan kewajiban para pihak terkait kelompok data yang lebih spesifik.

Sanksi atas pelanggaran hak data pribadi berdasarkan PIPL sangat berat, termasuk pemulihan paksa, penyitaan pendapatan ilegal, penangguhan layanan, pencabutan izin usaha atau operasi, serta denda hingga 50 juta yuan atau 5% dari pendapatan tahunan organisasi pada tahun fiskal sebelumnya. Selain itu, pelanggaran juga dapat dicatat dalam "berkas kredit" unit pemrosesan di bawah sistem kredit sosial nasional.

Lebih lanjut, unit pemrosesan akan bertanggung jawab untuk mengganti kerugian jika mereka melanggar hak dan kepentingan organisasi dan individu. Sanksi pidana untuk pelanggaran jenis ini juga diatur secara khusus dalam Hukum Pidana Tiongkok, yang menetapkan pertanggungjawaban pidana yang lebih berat bagi mereka yang bertanggung jawab atas kerahasiaan informasi, menambahkan bentuk penyitaan properti, dan menetapkan hukuman penjara seumur hidup sebagai hukuman penjara tertinggi.

Undang-Undang Perlindungan Data Pribadi (UU PDP) Singapura disahkan pada tahun 2012 (diamandemen pada tahun 2020). Hukum Singapura mengakui hak atas perlindungan data pribadi serta kebutuhan organisasi untuk mengumpulkan, menggunakan, dan mengungkapkan informasi untuk tujuan yang tepat dalam keadaan tertentu.

UU Perlindungan Data Pribadi juga menetapkan sanksi finansial yang berat untuk pelanggaran data. Pelanggar hukum akan dikenakan denda atau penjara. Besaran denda bergantung pada sifat dan tingkat keparahan pelanggaran, dengan rentang denda antara SGD 2.000 hingga SGD 100.000 (setara dengan VND 1,6 miliar) dan/atau penjara tidak lebih dari 12 bulan, dan dalam kasus serius hingga 3 tahun1; bagi lembaga dan perusahaan yang melanggar hukum, mereka dapat didenda hingga 10% dari omzet tahunan mereka.

Badan yang berperan penting dalam memastikan penerapan UU Perlindungan Data Pribadi adalah Komisi Perlindungan Data Pribadi (KPDP). Komisi ini merupakan badan khusus dengan kewenangan dan kemampuan penegakan hukum yang luas, serta memiliki hak untuk meminta individu dan organisasi memberikan informasi dan dokumen terkait pemrosesan data pribadi, mengenakan sanksi finansial atas pelanggaran, serta menanganinya dengan langkah-langkah lain.

Pembentukan badan khusus, Komisi Perlindungan Data Pribadi Singapura, yang bekerja secara independen dan proaktif dalam mendeteksi, menangani pelanggaran, dan menerapkan sanksi juga merupakan salah satu syarat penegakan perlindungan data pribadi yang efektif di Singapura.

Rekomendasi untuk meningkatkan undang-undang perlindungan data pribadi di Vietnam

Saat ini di Vietnam, terdapat 69 dokumen hukum yang terkait langsung dengan masalah perlindungan data pribadi yang diatur dalam berbagai dokumen termasuk Konstitusi, Kode (4), Undang-Undang (39), Ordonansi (1), Keputusan (2), Surat Edaran/Surat Edaran Bersama (4), Keputusan Menteri (1).

Dokumen-dokumen ini pada dasarnya membahas isu perlindungan data pribadi dengan mengutamakan prinsip privasi subjek, tetapi memiliki peraturan yang berbeda terkait informasi data pribadi, yang mengacu pada isu hak dan kewajiban subjek, pemrosesan informasi, dan metode perlindungan data pribadi. Undang-undang yang mengatur isu perlindungan data pribadi di Vietnam telah mencapai beberapa hasil yang luar biasa, terutama pada 17 April 2023, Pemerintah menerbitkan Keputusan No. 12/2023/ND-CP tentang perlindungan data pribadi - ini merupakan dokumen terpisah yang mengatur isu ini di negara kita. Dokumen-dokumen hukum ini telah menciptakan koridor hukum dalam upaya perlindungan data pribadi; menetapkan hak-hak subjek data serta pihak-pihak yang memproses data, menetapkan sanksi atas pelanggaran perlindungan data pribadi, dan mengidentifikasi badan khusus untuk perlindungan data pribadi sebagai Departemen Keamanan Siber dan Pencegahan Kejahatan Berteknologi Tinggi di bawah Kementerian Keamanan Publik .

Vietnam menghadapi banyak risiko, tantangan, dan bahaya dari dunia maya, terutama kebocoran dan perampasan informasi dan data pribadi, yang menyebabkan banyak dampak buruk bagi warga negara dan masyarakat.

Akan tetapi, dalam pelaksanaannya, dokumen-dokumen tersebut ternyata juga banyak mengandung keterbatasan, seperti dokumen hukum tersendiri yang ada saat ini hanya setingkat Keputusan Presiden, sehingga belum memenuhi unsur perlindungan data pribadi, banyaknya isi yang masih diatur secara umum dan belum jelas sehingga belum ada petunjuk khusus untuk setiap kasus, serta sanksi yang diberikan masih ringan dan belum memberikan efek jera.

Dalam situasi ini, perbaikan berkelanjutan undang-undang perlindungan data pribadi di Vietnam telah dan masih menjadi isu yang perlu dikaji berdasarkan pengalaman negara lain. Khususnya:

Pertama, menyusun Undang-Undang tentang Perlindungan Data Pribadi . Dalam konteks revolusi industri 4.0, baik di tingkat regional maupun nasional, 80 negara telah menerbitkan dokumen hukum terpisah untuk melindungi data pribadi. Vietnam perlu segera meneliti dan menerbitkan undang-undang umum dan khusus tentang data, seperti Undang-Undang Privasi Data seperti yang berlaku di Uni Eropa, Tiongkok, atau Singapura, yang mengidentifikasi isu-isu dasar dan prinsip-prinsip perlindungan data pribadi. Penerbitan undang-undang terpisah tentang data pribadi akan menjadi dasar hukum yang penting untuk melindungi data pribadi, mengingat saat ini dokumen hukum terkait isu ini di negara kita belum konsisten dalam hal terminologi dan regulasi isinya.

Kedua, mengubah dan melengkapi sanksi atas pelanggaran data pribadi dengan cara yang lebih berat agar sesuai dengan sifat dan tingkat keparahan pelanggaran. Meskipun sanksi atas pelanggaran data pribadi di negara kita mencakup sanksi administratif, perdata, dan pidana, umumnya sanksi tersebut cukup ringan dan tidak memiliki efek jera yang tinggi. Metode utama saat ini masih menerapkan sanksi untuk pelanggaran administratif, tetapi peraturan tersebut tersebar dalam banyak Peraturan Pemerintah dengan denda yang cukup rendah, yang tertinggi adalah: 100 juta VND untuk perorangan dan 200 juta VND untuk organisasi.

Meskipun kerugian yang ditimbulkan oleh pelanggaran administratif data pribadi tidak hanya kerugian materiil, tetapi juga kerugian terhadap kehormatan dan martabat. Selain sanksi administratif, sanksi pidana atas pelanggaran data pribadi hanya tercermin dalam peraturan tentang privasi dan bidang teknologi informasi serta keamanan jaringan, yaitu Pasal 159 dan Pasal 288 KUHP saat ini, dengan hukuman penjara yang relatif rendah, yaitu tidak lebih dari 7 tahun penjara dan denda tidak lebih dari 1 miliar VND. Denda ini, jika dibandingkan dengan denda di Uni Eropa sebesar 20 juta Euro, 1 juta SGD di Singapura, atau hukuman seumur hidup di Tiongkok, masih sangat rendah dan tidak sepadan dengan banyaknya pelanggaran.

Pada saat yang sama, perlu diatur banyak kelompok perilaku yang saat ini tidak tercantum dalam undang-undang, seperti perdagangan data dalam skala besar, pembuatan sistem pelanggaran data, pelanggaran dalam bisnis jasa pemasaran, dan lain-lain.

Ketiga, mengenai model badan perlindungan data pribadi di Vietnam . Saat ini, Departemen Keamanan Siber dan Pencegahan Kejahatan Berteknologi Tinggi di bawah Kementerian Keamanan Publik merupakan badan khusus untuk perlindungan data pribadi. Merujuk pada peraturan internasional, kita dapat mempertimbangkan pembentukan badan perlindungan data pribadi independen yang bertanggung jawab untuk menegakkan Undang-Undang Perlindungan Data Pribadi, melakukan inspeksi, pemeriksaan, menerbitkan pedoman dan rekomendasi, serta menerapkan sanksi atas pelanggaran jika ada.

Kita dapat merujuk pada model-model ini di Uni Eropa atau Singapura... untuk secara efektif menegakkan hukum perlindungan data pribadi, menyeimbangkan perlindungan hak-hak pribadi dan memastikan keamanan jaringan.

Melindungi data pribadi bukanlah masalah sederhana, terutama ketika ditempatkan dalam konteks integrasi, ketika aktivitas pemantauan dan pengumpulan data pribadi berlangsung dalam skala besar dan sistem hukum Vietnam yang mengatur masalah ini masih dalam proses pembangunan dan penyempurnaan.

Meneliti hukum internasional mengenai masalah ini dengan mengacu pada situasi praktis di Vietnam akan membantu kita segera membangun kerangka hukum untuk perlindungan data pribadi yang komprehensif, sesuai dengan hukum internasional dan penegakan yang efektif.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html